A Web3 mindaddig nem válik be a mainstreambe, amíg nincs zökkenőmentes blokklánc-integráció: Egyre több hídtámadással, mit jelent ez?

Még 2022 márciusában a kriptovaluta hálózat Ronin felfedte, hogy minden idők egyik legnagyobb hackjének esett áldozatul, és olyan incidenst szenvedett el, amely lehetővé tette a támadóknak több mint 540 millió dollárt lop el értékű Ethereum és USD érméket. Az incidens során a hackerek kihasználták a Ronin Bridge néven ismert szolgáltatás sebezhetőségét. Ez egyike a „blokklánc hidak” elleni sikeres támadásoknak a közelmúltban, amelyek felhívták a figyelmet a belső biztonsági hiányosságokra.

A blokklánc hidak, amelyeket néha hálózati hidaknak is neveznek, olyan szolgáltatások, amelyek lehetővé teszik a kriptotulajdonosok számára, hogy digitális eszközeiket egyik blokkláncról a másikra helyezzék át. Fontos szerepet töltenek be, mert a kriptovaluták gyakran el vannak zárva, és nem képesek az interoperabilitásra, vagyis például egy Ethereum pénztárca címére küldhet Bitcoint. Az elzárt természet miatt a hidak kulcsmechanizmussá váltak a kriptogazdaságban.

A hídszolgáltatások valójában nem egyfajta digitális eszközt helyeznek át egy másik láncba. Inkább „becsomagolják” a kriptovaluta tokeneket, hogy a másik láncon lévő új eszközökké alakítsák át őket. Tehát ha egy felhasználó át akarja hidalni a Bitcoint a Solanával, akkor a híd lényegében lefagyasztja az eredeti BTC-t azáltal, hogy egy pénztárcacímbe zárja, mielőtt kiköpné az úgynevezett wrapped BTC-t (WBTC), amely a második láncon használható. Felfogható egyfajta, pontosan azonos pénzértéket biztosító ajándékkártya, amely csak egy adott üzletben használható fel.

Munkájukból adódóan a hidak ezért jelentős kriptovaluta token-tartalékokat tartalmaznak, amelyek intelligens szerződésekbe vannak zárva, és ezek a tartalékok különösen vonzóvá teszik őket a hackerek számára.

Amint azt a kriptográfiai szakértők nagyon jól tudják, a láncon lévő bármely érték a nap bármely szakában támadásnak van kitéve. Az internet soha nem megy offline állapotba, vagyis a hídon lévő tokenek mindig elérhetők.

Ronin Hack bemutatja a központosítás veszélyét

 A Ronin Network elleni támadás a dollár értékét tekintve az egyik legnagyobb DeFi rablás volt. A Ronin egy Ethereum oldallánc, amely olcsóbb tranzakciókat tesz lehetővé, sokkal gyorsabban, mint a fő hálózat. Ez volt a választott híd a népszerű „játssz-keresni” kriptovaluta-játékhoz, az Axie Infinity-hez, ami azt jelenti, hogy folyamatosan több millió dollárt dolgozott fel kripto- és stabilcoin-ban.

Az oldalláncok olyan blokklánc-skálázási megoldások, amelyekhez híd szükséges a többi lánchoz való csatlakozáshoz. A Ronin segítségével a felhasználók alternatív hálózatokon zárolhatják ETH-jukat és mentacsomagolású ETH-jukat. A tranzakciók feldolgozása és jóváhagyása a Proof of Authority konszenzusos algoritmuson keresztül történik. Ennél a modellnél 5 érvényesítőből 9-nek meg kell állapodnia egy tranzakcióban a konszenzus eléréséhez. A Ronin négy validátorát azonban egy cég üzemeltette – a Sky Mavis, a Ronin fejlesztője.

Ez egy erősen központosított beállítás, amely az Axie Dao azon döntésének eredménye, hogy 2021 novemberében gázmentes RPC csomópontot állított fel a hálózati torlódások megoldására. A DAO engedélyezte a Sky Mavis kulcsokat a tranzakciók aláírásához a nevében. Csak ideiglenes megállapodásnak kellett volna lennie, de az engedélyezési listát soha nem vonták vissza. Ez nyílást hozott létre a támadók számára – állítólag az Észak-Korea által szponzorált Lazarus Group –, amelyek szociális tervezési technikákat alkalmaztak a Sky Mavis négy kulcsának kompromittálására. A hackerek ezután egy sérülékenységet fedeztek fel az RPC kódjában, amely lehetővé tette az ötödik érvényesítő vezérlését, és lehetővé tette az illegális visszavonást.

A fő probléma az volt, hogy a Ronin több aláírást tartalmazó rendszere a tranzakciók aláírására a decentralizáció hiánya miatt veszélybe került. A biztonsági mechanizmusok gyengeségét szemlélteti, ahol a kormányzás nagy része egyetlen entitás kezében összpontosul.

Továbbra is fennállnak az intelligens szerződések sebezhetőségei

 A Ronin feltörése nem egyszeri volt, hanem csak a legújabb támadás a blokklánc hidak elleni nagy horderejű támadások sorozatában, amelyek több millió dollár értékvesztést eredményeztek. Egy hónappal korábban a támadók mintegy 80 millió dollár értékű Ethereummal sikeresen kijutottak a Qubit-híd elleni támadást követően.

Ez a Qubit Finance platform által üzemeltetett szolgáltatás, amely lehetővé teszi a felhasználók számára, hogy digitális eszközöket kölcsönözzenek és kölcsönözzenek az Ethereum és a Binance Smart Chain hálózatokon keresztül. Lehetővé teszi például egy ERC-20 token letétbe helyezését és egy BEP-20 érme fogadását cserébe, amelyet aztán a Binance láncon használhat fel.

A Qubit Bridge-et az intelligens szerződés kódjában szereplő „logikai hiba” miatt törték fel. A biztonsági rés lehetővé tette a hacker számára, hogy rosszindulatú adatok felhasználásával manipulálja a hidat, így a BSC tokeneket anélkül vonhatta ki, hogy bármit is befizetett volna az Ethereumon. An a támadás boncolása megállapította, hogy a QBridge intelligens szerződés nem ellenőrizte megfelelően a szükséges mennyiségű ETH zárolását. Ehelyett a hacker hamis bizonyítékot tudott felmutatni egy nem létező letétről.

Az incidens rávilágított arra, hogy az intelligens szerződések sebezhetősége továbbra is állandó probléma a DeFi-ben, és különösen a blokklánc-hidak esetében. A hídtámadások túlnyomó többsége az intelligens szerződések hibáit célozza meg, amelyek olyan automatizált szerződések, amelyek bizonyos feltételek teljesülése esetén automatikusan végrehajtódnak.

A hidak kulcsfontosságúak a kriptográfiai hatókör kiterjesztésében

 A kriptoplatformok végtelen számú támadásnak vannak kitéve, amióta a születőben lévő iparág népszerűvé kezdett válni. A DeFi hívei szerint elérhetőbb és méltányosabb alternatívát nyújthat a hagyományos pénzügyi szolgáltatásokkal szemben, de a tér fejlődésével gyakorlatilag tűzpróbának vetették alá. A hidak elleni támadások ugyanolyan általánossá váltak, mint a kriptovaluta-csere és a DeFi protokollrablás. A probléma az, hogy a hidak, akárcsak a cserék és a protokollok, nagy téttel bíró platformok, amelyek óriási értéket hordoznak, és bármelyikük sebezhető lehet a mögöttes kódjában található hibákkal szemben.

Széles körben elterjedt az a vélekedés, hogy a kriptográfia és a DeFi soha nem fog széles körben elterjedni anélkül, hogy megfelelő megoldást találnának a támadások kockázatára. A világ értékének túlnyomó többségét intézményi befektetők, például befektetési bankok és nagy fedezeti alapok tartják. Az ilyen szervezetek a megfelelést és alapjaik biztonságát helyezik előtérbe a lehetséges nyereségnél. Tehát a DeFi és a kriptográfia valószínűleg nem lesz több egy befektetési résnél, amíg meg nem oldják a biztonsági problémáit.

A híd biztonsága kiemelten fontos. A blokkláncok szilárd jellege súlyos hátrány, amely korlátozza bármely decentralizált alkalmazás lehetséges hatókörét. Az Ethereumra épített dApp nem tud másokkal beszélni különböző blokkláncok alapján. Nem tud tranzakciókat folytatni Bitcoinnal, a világ legértékesebb és legszélesebb körben használt kriptovalutájával, ami azt jelenti, hogy a BTC-tulajdonosoknak nincs módjuk kapcsolatba lépni a DeFi ökoszisztémával. Ha a kriptográfia valaha is mindenütt elterjedtté válik, a felhasználóknak biztonságos módon kell kommunikálniuk a különböző láncokkal.

Jobb hidak építése

 A jó hír az, hogy vannak olyanok az iparágban, akik felismerik a biztonságos blokklánc-kapcsolat fontosságát. Az egyik izgalmas lehetőség az AllianceBlock's nagyon ígéretes AllianceBridge, amely támogatja a főbb hálózatokat, köztük az Ethereumot, a Binance Smart Chain-t, az Avalanche-t, a Polygont, az Arbirtrumot, az Optimizmust és az Energy Web-et, egyedülálló infrastruktúrával, amely decentralizáltabb, és gyorsabb és biztonságosabb teljesítményt nyújt.

Ellentétben a központosított hidakkal, amelyek egyetlen vagy csak néhány entitásra támaszkodnak a tranzakciók jogszerűségének ellenőrzésére, a decentralizált hidak ugyanazokon az elveken alapulnak, mint maga a blokklánc. Több operátor is jól strukturált konszenzusos mechanizmusokat használ a tranzakciók érvényességének megállapítására. Az AllianceBridge egy decentralizált híd, amely egyedülálló módszert fejlesztett ki a konszenzus elérésére.

Másokhoz hasonlóan az AllianceBridge is intelligens szerződésbe zárja a kapott tokeneket, majd csomagolt tokeneket bocsát ki a cél blokkláncon. Ezek a becsomagolt tokenek a második láncban léteznek mindaddig, amíg a felhasználó úgy dönt, hogy beváltja őket az eredeti hálózaton. Ekkor a becsomagolt tokeneket elégetik, vagyis megszűnnek létezni, míg a natív láncon lévő eredeti tokenek feloldódnak.

Az AllianceBridge abban különbözik, hogy hídüzemeltetők EVM-kompatibilis hálózatát alkalmazza. Ezenkívül kihasználja a robusztus, harmadik felet Hedera Hashgraph konszenzus szolgáltatás amelyet egy innovatív "pletykálkodni” konszenzusos algoritmus.

A HCS szolgáltatás segítségével a blokklánc alkalmazások és hálózatok üzeneteket küldhetnek be a Hedera nyilvános főkönyvébe, ahol azok időbélyegzéssel és teljes átláthatósággal rendelhetők. Ez lehetővé teszi az AllianceBridge számára, hogy konszenzusra jusson anélkül, hogy fenntartaná a szinkronizálást a híd üzemeltetői között. Ez gyorsabb teljesítményt jelent nagyfokú decentralizáció mellett, míg a HCS egy extra bizalmi réteget biztosít, amely biztonságosabbá teszi a hidat.

Az AllianceBridge intelligens szerződései, amelyek az eredeti eszközök zárolására és a becsomagolt tokenek verésére és elégetésére szolgálnak, még nagyobb biztonságot nyújtanak. A teljes intelligens szerződés kódbázist úgy írták, hogy az EIP-2535 szabvánnyal rezonáljon, és az is lett az Omniscia teljes körűen auditálta. Az audit során az Omniscia számos lehetséges problémára hívta fel a figyelmet, amelyeket az AllianceBlock azonnal kijavított a kód életbe lépése előtt.

Az AllianceBridge biztonsága és megbízhatósága kulcsszerepet játszott az AllianceBlock DeFi-kínálatának bővítésében, beleértve a DeFi terminál, amely egyszerű módot biztosít a projektek számára likviditásbányászati ​​és befektetési kampányok indítására több támogatott hálózaton és dApp-on. Biztonságos blokklánc-interoperabilitási protokolljával az AllianceBlock azt a szilárd alapot építi meg, amelyre egy gazdag, összekapcsolt Web3 ökoszisztémának szüksége van a növekedéshez és fejlődéshez.

- Reklám -